Me sorprendió mucho que en mi@ al dar en editar perfil salga la contraseña (aunque en forma de asteriscos). Si uno ve el vodigo fuente de esa pagina, ve la contraseña... esto es un error grave de seguridad, sobre todo si alguien se olvida el usuario en algun lado, otro puede obtener la contraseña y el usuario original no darse cuenta...
Ademas la contraseña debería estar encriptada en la base de datos. Existen funciones para eso.
Y la caducación de sesiones también hace falta... (ya lo había pedido esto).
Desde ya, muchas gracias,
para lo que uds. necesiten,
Emiliano
Escrito originalmente por LeegarPero mira que hay que ser para olvidarse la sesión abierta.
Es más común de lo que parece... recuerdo una vez que, al entrar a Miarroba desde un ordenador de la facultad, aparecía conectado como "Pantani". Por supuesto, no es mi cuenta... sería de algún usuario de Miarroba que usó ese mismo ordenador y olvidó desconectarse.
Estoy con -BigHead-, la caducidad de sesiones es imprescindible.
Por cierto, -BigHead-, o cambias de firma, o reabres la web en la que alojabas las imágenes de la firma. Pero no me descuadres el foro de esta forma, plis.
Bighead, aunque aparezcan esos asteriscos, esa información (la contraseña en este caso) NO está en el código fuente de la página web sinó en una variable interna y temporal del navegador (a la cual sólo el propio navegador tiene acceso).
Vamos, que respecto a eso no hay mucho problema. Y si bien es relativamente habitual dejar abierta una sesión de Mi@, dejarla abierta en la pantalla de editar los datos personales es MUY GRAVE. Personalmente creo que alguien capaz de un despiste así se merece lo que le pueda pasar. Puede sonar duro, pero lo mejor en estos casos es aprender la lección por las malas: pasándolas putas, que duela y así no se te vuelve a olvidar.
En todo caso, lo de la caducidad de una sesión es una muy buena idea que ya hace tiempo que se comentó. Supongo que los de Mi@ la habrán considerado por lo menos.
Para R20, la caducidad de sesiones tendría que ser opcional al conectarte...
Para Isawra, que variable temporal ni temporal! Yo he visto el codigo fuente y ahi esta puesto como el valor default del campo...es en serio... y esto no es grave no solo por quien pueda dejarse olvidada la sesion, sino que alguien que accede a tu maquina, en dos segundo se hace con la clave...
-BigHead- tiene razón acabo de comprobarlo. El tema de la seguridad es un aspecto importante a mejorar. Lo de caducar las sesiones lo veo bien, pero que sea opcional desde luego. Cuando me conecto desde mi casa no quiero tener que estar conectando cada poco.
En ese caso me callo Big, tenías razón. Es que lo normal (al menos que haya visto en otras partes) sería hacerlo de otro modo. Con lo cual me reafirmo en lo dicho: quien se deje una sesión abierta en ese punto, se merece todo lo que le pase(sintiéndolo mucho, pero con estas cosas no se puede ser TAN descuidado).
En cuanto a la caducidad de sesiones, creo que se refieren más bien a que la cookie que nos guarda el usuario conectado se borre siempre que el usuario cierre todas las ventanas del navegador que usen esa sesión de Mi@.
Oye, BigHead, en serio... tienes que hacer algo con esa firma. No sé cómo lo veréis vosotros, pero yo, con resolución de 1024x768 y el navegador maximizado, veo un scroll larguísimo, que tengo que desplazar un 40% del largo total para poder leer el mensaje.
A R20: Pues sí, en parte tienes razón... la verdad es que resulta muy cómodo abrir el navegador y listo, sin tener que teclear cuentas de usuario ni nada. Pero yo personalmente prefiero la seguridad a la comodidad. Fuera de casa suelo tomar la precaución de cerrar la sesión, pero si alguna vez me pilla con prisa (o simplemente Miarroba se cuelga cuando intento desconectar y el cyber me está cerrando las puertas), no quisiera que nadie tuviera acceso a mi cuenta. No sé, digo yo que teclear tu nombre de usuario y tu clave una vez al día no es tanto, ¿no? Y cuando termines, cierras el navegador, y caduca la sesión.
No sé, digo yo que teclear tu nombre de usuario y tu clave una vez al día no es tanto, ¿no? Y cuando termines, cierras el navegador, y caduca la sesión.
Hombre no es tanto pero si tuvieras una clave como la mia que te puede dar las uvas para conectarte,un poquito molesto si que es.
Defero, ya arregle la firma, pero a nadie que conozca le hacia ese scroll...
Yo lo que digo es que las sesiones caduquen si uno activa un checkbox al hacer el loguin... el famoso "recordarme en esta pc"... asi si estas en tu maquina lo dejas y si no no...
Y lo de la clave, me parece mal que no este encriptada... mucha gente tiene acceso a tu maquina facilmente... y ver la contraseña no es dificil...
Escrito originalmente por R20Hombre no es tanto pero si tuvieras una clave como la mia que te puede dar las uvas para conectarte,un poquito molesto si que es.
¿Te refieres a que tienes una contraseña muy larga, o una muy compleja? Si lo dices por que es una contraseña larga... No sé como lo tratará Mi@; pero la mayoría de sistemas de encriptación y gestión de claves trabajan únicamente con contraseñas de 8 carácteres como máximo.
Editado por Isawa_Himura, Miércoles, 21 de Julio de 2004, 15:59
Escrito originalmente por -BigHead-Defero, ya arregle la firma, pero a nadie que conozca le hacia ese scroll... (...)
Todo depende del navegador. Si Mozilla no encuentra la
imagen, simmplemente no la muestra. Pero si Opera no
encuentra la imagen, muestra un texto ("imagen") en su
lugar. Y muestra ese texto con el mismo tamaño que las
letras que tienes intercaladas entre las imágenes. Por
eso aparecía tan ancho.
Eso me pasa por usar Opera... Mozilla no puedo usar,
porque lo tengo ocupado con otra cuenta de usuario, así
que tendré que usar Galeon.
Escrito originalmente por Isawa_Himura¿Te refieres a que tienes una contraseña muy larga, o una muy compleja? Si lo dices por que es una contraseña larga... No sé como lo tratará Mi@; pero la mayoría de sistemas de encriptación y gestión de claves trabajan únicamente con contraseñas de 8 carácteres como máximo.
La función md5 de php, usada por phpbb encripta cualquier cantidad de caracteres...
y mi@ no encripta la contraseña! Además te la mandan por mail hasta el día de tu cumpleaños... y yo abriendolo con un amigo...
TU NO PUEDES Escribir nuevos temas en este foro TU NO PUEDES Responder a los temas en este foro TU NO PUEDES Editar tus propios mensajes en este foro TU NO PUEDES Borrar tus propios mensajes en este foro
Todas las fechas y horas son GMT+1. Ahora son las 19:49
Miarroba Networks, S.L. C/ 18 de Julio, 21 Bajo, 39610 Astillero (CANTABRIA) - CIF B-39512736 Inscrita en el Registro Mercantil de Cantabria, tomo 743, folio 161, libro 0, hoja S-12428, Inscripción 1ª
Nuevo usuario
Cuestion de seguridad...
-BigHead-
Desconectado
Usuario PRO
